Alla organisationer innehar mängder med information. Men utan kunskap om hur informationen ska klassificeras finns det risk att eftertraktade uppgifter hamnar i fel händer. Erik Bergström, forskarstuderande i informationsteknologi, har i sin forskning utvecklat en metod som syftar till att underlätta för organisationer i hur de ska klassificera sin information. Fredagen 4 september disputerar han på Högskolan i Skövde.
I den digitaliserade värld vi lever i idag har information och informationssystem blivit kritiska tillgångar för organisationer och företag. Informationen måste därför skyddas, för att inte hamna i fel händer. Dels måste informationen vara säker för att skydda organisationen, men också medarbetare, kunder och samarbetspartner kan drabbas om information inte skyddas på rätt sätt.
En del i arbetet med att göra informationen säker, är att klassificera den på rätt sätt. Erik Bergström är forskarstuderande på Institutionen för informationsteknologi på Högskolan i Skövde, och arbetar till vardags på Tekniska Högskolan i Jönköping.
– Det finns befintliga standarder som beskriver informationsklassificering. Men de vanligaste standarderna inom området säger att man ska klassificera information, inte hur det ska gå till. Många aktörer jag pratade med hade väldigt svårt att förstå exakt vad de skulle göra. Det fanns ett uttalat önskemål om att vilja minska osäkerheten kring hur man ska fatta klassificeringsbeslut, säger Erik Bergström.
Tittat på offentlig sektor
Underlaget till Erik Bergströms forskning kommer främst från offentlig sektor i Sverige. Bland annat har han studerat ett par kommuner och en region samt varit i kontakt med 245 svenska förvaltningsmyndigheter.
Tidigt i sin forskning såg han att olika medarbetare i samma organisation ibland värderar samma typ av information på olika sätt. Det är allvarligt eftersom det kan leda till att informationen inte skyddas på rätt sätt. Erik Bergström har därför utvecklat en metod som bland annat grafiskt beskriver hur man klassificerar information, kompletterat med instruktioner för hur den ska implementeras i en organisation.
– Informationssäkerhet handlar helt enkelt om att skydda den information som finns i en verksamhet. Det jag har gjort är att ge verksamheten stöd i hur man kan implementera informationsklassificering i sin verksamhet.
Bringa ordning i litteraturen
Informationssäkerhet som forskningsområde är ganska stort och det är många som bidragit till hur man bör klassificera sin information, men enligt Erik Bergström är det en del oordning i litteraturen.
– Jag har försökt bringa lite ordning i litteraturen inom området genom att gå igenom och tematisera problem och lösningar.
Ett annat resultat är att metoden Erik Bergström har utvecklat bygger på designprinciper som andra skulle kunna använda som bas när de utvecklar egna metoder för informationsklassificering.
– Informationssäkerhet är komplext och handlar till viss del om att försöka göra det så bra som möjligt och försöka hänga med så gott det går. Min förhoppning är kanske inte att lösa problematiken kring informationsklassificering helt, men åtminstone underlätta och hjälpa organisationer hantera sin information lite bättre än tidigare.
Erik Bergström försvarar sin avhandling "Supporting Information Security Management: Developing a Method for Information Classification" fredagen 4 september på Högskolan i Skövde, och via Zoom.
Opponent
Steven Furnell, professor, University of Plymouth
Handledare
Rose-Mharie Åhlfeldt, biträdande professor, Högskolan i Skövde
Fredrik Karlsson, professor, Örebro Universitet
Eva Söderström, biträdande professor, Högskolan i Skövde
Examinatorer
Louise Yngström, professor, Stockholms Universitet
John Sören Pettersson, professor, Karlstads Universitet
Andreas Jacobsson, biträdande professor, Malmö Universitet
Kontakt
Adjunkt i datavetenskap
Erik Bergström
Institutionen för informationsteknologi